தொடர்ந்து கூகுள் நிறுவனம் குரோம் உலாவிக்காக உருவாக்கப்பட்டு வரும் "DNS ஓவர் HTTPS" (DoH, DNS over HTTPS) செயல்படுத்தலைச் சோதிக்கும் ஒரு பரிசோதனையை மேற்கொள்ளும் நோக்கத்தைப் பற்றி. அக்டோபர் 78 ஆம் தேதி திட்டமிடப்பட்ட Chrome 22, இயல்புநிலையாக சில பயனர் வகைகளைக் கொண்டிருக்கும் DoH ஐப் பயன்படுத்த. DoH உடன் இணக்கமாக அங்கீகரிக்கப்பட்ட சில DNS வழங்குநர்களைக் குறிப்பிடும் தற்போதைய கணினி அமைப்புகளைக் கொண்ட பயனர்கள் மட்டுமே DoH ஐ இயக்குவதற்கான பரிசோதனையில் பங்கேற்பார்கள்.
DNS வழங்குநர்களின் வெள்ளைப் பட்டியலில் அடங்கும் கூகுள் (8.8.8.8, 8.8.4.4), Cloudflare (1.1.1.1, 1.0.0.1), OpenDNS (208.67.222.222, 208.67.220.220), Quad9 (9.9.9.9, 149.112.112.112 row. 185.228.168.168 185.228.169.168 , 185.222.222.222) மற்றும் DNS.SB (185.184.222.222, XNUMX). பயனரின் DNS அமைப்புகள் மேலே குறிப்பிட்டுள்ள DNS சேவையகங்களில் ஒன்றைக் குறிப்பிட்டால், Chrome இல் DoH இயல்பாகவே செயல்படுத்தப்படும். உள்ளூர் இணைய வழங்குநரால் வழங்கப்பட்ட DNS சேவையகங்களைப் பயன்படுத்துபவர்களுக்கு, அனைத்தும் மாறாமல் இருக்கும் மற்றும் DNS வினவல்களுக்கு சிஸ்டம் ரிசல்வர் தொடர்ந்து பயன்படுத்தப்படும்.
பயர்பாக்ஸில் DoH செயல்படுத்துவதில் இருந்து ஒரு முக்கியமான வேறுபாடு, இது படிப்படியாக இயல்பாகவே DoH ஐ இயக்கியது ஏற்கனவே செப்டம்பர் இறுதியில், ஒரு DoH சேவைக்கு பிணைப்பு இல்லாதது. முன்னிருப்பாக பயர்பாக்ஸில் இருந்தால் CloudFlare DNS சேவையகம், பின்னர் DNS வழங்குநரை மாற்றாமல், DNS உடன் பணிபுரியும் முறையை ஒரு சமமான சேவைக்கு மட்டுமே Chrome புதுப்பிக்கும். எடுத்துக்காட்டாக, கணினி அமைப்புகளில் குறிப்பிடப்பட்ட DNS 8.8.8.8 பயனரிடம் இருந்தால், Chrome Google DoH சேவை (“https://dns.google.com/dns-query”), DNS 1.1.1.1 ஆக இருந்தால், Cloudflare DoH சேவை (“https://cloudflare-dns.com/dns-query”) மற்றும்
விரும்பினால், பயனர் “chrome://flags/#dns-over-https” அமைப்பைப் பயன்படுத்தி DoH ஐ இயக்கலாம் அல்லது முடக்கலாம். மூன்று இயக்க முறைகள் ஆதரிக்கப்படுகின்றன: பாதுகாப்பான, தானியங்கி மற்றும் முடக்கம். "பாதுகாப்பான" பயன்முறையில், ஹோஸ்ட்கள் முன்பு தேக்ககப்படுத்தப்பட்ட பாதுகாப்பான மதிப்புகளின் அடிப்படையில் மட்டுமே தீர்மானிக்கப்படுகின்றன (பாதுகாப்பான இணைப்பு மூலம் பெறப்பட்டது) மற்றும் வழக்கமான DNS க்கு திரும்புவதற்கான கோரிக்கைகள் பயன்படுத்தப்படாது. "தானியங்கி" பயன்முறையில், DoH மற்றும் பாதுகாப்பான கேச் கிடைக்கவில்லை என்றால், பாதுகாப்பற்ற தற்காலிக சேமிப்பிலிருந்து தரவை மீட்டெடுக்கலாம் மற்றும் பாரம்பரிய DNS மூலம் அணுகலாம். "ஆஃப்" பயன்முறையில், பகிரப்பட்ட கேச் முதலில் சரிபார்க்கப்பட்டது மற்றும் தரவு இல்லை என்றால், கோரிக்கை கணினி DNS மூலம் அனுப்பப்படும். முறை மூலம் அமைக்கப்பட்டுள்ளது kDnsOverHttpsMode , மற்றும் kDnsOverHttpsTemplates மூலம் சர்வர் மேப்பிங் டெம்ப்ளேட்.
DoH ஐ இயக்குவதற்கான சோதனையானது, லினக்ஸ் மற்றும் iOS தவிர, Chrome இல் ஆதரிக்கப்படும் அனைத்து இயங்குதளங்களிலும் மேற்கொள்ளப்படும், ஏனெனில் தீர்வு அமைப்புகளைப் பாகுபடுத்துதல் மற்றும் சிஸ்டம் DNS அமைப்புகளுக்கான அணுகலைக் கட்டுப்படுத்துதல் ஆகியவை அற்பமானதல்ல. DoH ஐ இயக்கிய பிறகு, DoH சேவையகத்திற்கு கோரிக்கைகளை அனுப்புவதில் சிக்கல்கள் இருந்தால் (எடுத்துக்காட்டாக, அதன் தடுப்பு, பிணைய இணைப்பு அல்லது தோல்வி காரணமாக), உலாவி தானாகவே கணினி DNS அமைப்புகளை வழங்கும்.
சோதனையின் நோக்கம் DoH இன் செயலாக்கத்தை இறுதிச் சோதிப்பது மற்றும் செயல்திறனில் DoH ஐப் பயன்படுத்துவதன் தாக்கத்தைப் படிப்பதாகும். உண்மையில் DoH ஆதரவு இருந்தது என்பதை கவனத்தில் கொள்ள வேண்டும் பிப்ரவரியில் Chrome கோட்பேஸில், ஆனால் DoH ஐ உள்ளமைக்கவும் இயக்கவும் ஒரு சிறப்புக் கொடி மற்றும் வெளிப்படையான விருப்பங்களின் தொகுப்புடன் Chrome ஐத் துவக்குகிறது.
வழங்குநர்களின் DNS சேவையகங்கள் மூலம் கோரப்பட்ட ஹோஸ்ட் பெயர்கள் பற்றிய தகவல் கசிவைத் தடுக்கவும், MITM தாக்குதல்கள் மற்றும் DNS டிராஃபிக் ஸ்பூஃபிங்கை எதிர்த்துப் போராடவும் (உதாரணமாக, பொது வைஃபையுடன் இணைக்கும் போது), DNS இல் தடுப்பதை எதிர்ப்பதற்கு DoH பயனுள்ளதாக இருக்கும் என்பதை நினைவில் கொள்வோம். நிலை (டிபிஐ மட்டத்தில் செயல்படுத்தப்பட்ட பைபாஸ் பிளாக்கிங் பகுதியில் VPN ஐ மாற்ற முடியாது) அல்லது டிஎன்எஸ் சேவையகங்களை நேரடியாக அணுகுவது சாத்தியமில்லை என்றால் (உதாரணமாக, ப்ராக்ஸி மூலம் பணிபுரியும் போது) வேலைகளை ஒழுங்கமைக்க முடியாது. ஒரு சாதாரண சூழ்நிலையில் DNS கோரிக்கைகள் கணினி கட்டமைப்பில் வரையறுக்கப்பட்ட DNS சேவையகங்களுக்கு நேரடியாக அனுப்பப்பட்டால், DoH ஐப் பொறுத்தவரை, ஹோஸ்டின் IP முகவரியைக் கண்டறியும் கோரிக்கை HTTPS ட்ராஃபிக்கில் இணைக்கப்பட்டு HTTP சேவையகத்திற்கு அனுப்பப்படும். Web API வழியாக கோரிக்கைகள். தற்போதுள்ள DNSSEC தரநிலையானது கிளையன்ட் மற்றும் சர்வரை அங்கீகரிப்பதற்காக மட்டுமே குறியாக்கத்தைப் பயன்படுத்துகிறது, ஆனால் குறுக்கீடுகளிலிருந்து போக்குவரத்தைப் பாதுகாக்காது மற்றும் கோரிக்கைகளின் இரகசியத்தன்மைக்கு உத்தரவாதம் அளிக்காது
ஆதாரம்: opennet.ru